Kioskarz nie musi powoływać ABI. Ale za wyciek danych odpowie

● Konieczność rejestracji kart prepaid

Taki obowiązek wprowadził art. 43 pkt 1 ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. z 2016 r. poz. 904). W art. 60b ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (t.j. Dz.U. z 2014 r. poz. 243 ze zm.; dalej: p.t.) określono zasady tego procesu.

Obecnie operatorzy udostępniają klientom możliwość rejestracji kart nie tylko w swoich salonach, lecz także w innych punktach. W zależności od dostawcy są to np. kioski RUCH, saloniki prasowe InMedio, Relay, One Minute, urzędy Poczty Polskiej, sklepy dużych sieci ze sprzętem AGD i RTV itp.

Wszystkie pytane przez nas duże firmy telekomunikacyjne przyznają, że wciąż poszukują podmiotów, które są gotowe współpracować z nimi i w ich imieniu rejestrować karty prepaid. To otwiera pole do współpracy kolejnym przedsiębiorcom prowadzącym kioski i saloniki prasowe. Operatorzy pracują nad wdrożeniem rozwiązań technicznych, które umożliwią sprawne rejestrowanie kart i przesyłanie danych osobowych bezpośrednio do operatorów, tak by były one odpowiednio chronione i zabezpieczone. Prawdopodobnie rejestracja będzie przeprowadzana przy użyciu terminali płatniczych - które przecież mają klawiaturę do wprowadzania danych.

Jak zapowiadają operatorzy, kwestia technicznych rozwiązań z każdym dniem jest coraz bliższa rozwiązania. Z prostego powodu - dostawcom zależy, by karty można było rejestrować w jak największej liczbie miejsc.

● Za co odpowiedzą kioskarze

Eksperci wciąż mają wątpliwości, czy przeniesienie możliwości rejestracji kart na podmioty trzecie jest dobrym rozwiązaniem. - Zachodzi poważna obawa, czy dane powierzone sprzedawcom w kioskach będą odpowiednio zabezpieczone - komentuje dr Mariusz Bidziński z kancelarii Chmaj i Wspólnicy.

Okazuje się, że kioskarze mimo wszystko będą mogli odpowiedzieć za pewne naruszenia związane z danymi osobowymi. - Kioskarz jest bowiem tzw. procesorem, czyli podmiotem przetwarzającym dane na zlecenie administratora - tłumaczy dr Paweł Litwiński, partner w kancelarii Barta Litwiński, związany z Instytutem Allerhanda. I dodaje, że sprzedawca ma obowiązek zabezpieczenia danych przed nieupoważnionym dostępem, np. przepisywaniem i sprzedawaniem ich poza system informatyczny.

- Jeżeli dane wyciekną z winy prowadzącego sklep, on będzie za to odpowiedzialny - mówi dr Litwiński.

Z kolei Damian Klimas, prawnik w kancelarii prawnej Szostek_Bar i Partnerzy, twierdzi, że osoby rejestrujące karty prepaid (pracownicy salonów czy kiosków) będą ponosić odpowiedzialność dopiero wtedy, gdy operator udowodni, że sam dochował szczególnej staranności, gwarantując ochronę danych osobowych. Ważne jest to, że zgodnie z art. 52 ustawy o ochronie danych osobowych, kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

● Obowiązki operatorów telekomunikacyjnych

Każda operacja wykonywana na danych osobowych - taka jak ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie - jest przetwarzaniem danych osobowych w myśl ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.). W konsekwencji do gromadzenia i potwierdzania przez dostawcę usług i działających na jego rzecz osób do danych zgłaszanych przez abonentów stosuje się przepisy o ochronie danych osobowych. Jak informuje w rozmowie z DGP Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego Generalnego Inspektoratu Ochrony Danych Osobowych, w tym przypadku administratorem danych wciąż pozostaje przedsiębiorca telekomunikacyjny.

- To na nim będą ciążyć obowiązki administratora zawarte w ustawie o ochronie danych osobowych - informuje Kałużyńska-Jasak. Chodzi m.in. o wdrożenie odpowiednich procedur (w tym środków technicznych i organizacyjnych), na podstawie których dane osobowe osób rejestrujących nabyte przed 25 lipca 2016 r. karty prepaid lub kupujących karty prepaid po tej dacie będą chronione odpowiednio do zagrożeń. A z racji katalogowania i przetwarzania danych operatorzy muszą oczywiście mieć w firmie powołanego administratora bezpieczeństwa informacji (ABI).

Za to - wbrew niedawnym doniesieniom prasowym - kioskarze nie będą musieli zatrudniać swojego ABI. A to dlatego, że będą jedynie występować jako pośrednik w procesie zbierania danych. Powinni natomiast zgodnie z ustawą zawrzeć z operatorem umowę powierzenia przetwarzania danych osobowych.

● Jakie informacje trzeba uzyskać

Zgodnie z art. 60b ust. 1 pkt 1 p.t., by rejestracja była skuteczna, abonent będący osobą fizyczną musi podać następujące dane:

● imię i nazwisko,

● numer PESEL, jeżeli klient go posiada lub

● nazwę, serię i numer dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego UE albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu.

Według niedawnego stanowiska generalnego inspektora ochrony danych osobowych i Urzędu Komunikacji Elektronicznej przedsiębiorcy nie powinni pozyskiwać kopii dokumentów tożsamości (zgodnie z art. 60b ust. 1 pkt 1 p.t.) - a więc nie wolno kioskarzowi skanować bądź kserować dowodu osobistego klienta. Takie kopie powinny być również podstawą do odmowy rejestracji karty prepaid przez przedsiębiorcę.

● A jak rejestrować? Paradoks prawny!

Przy samej rejestracji mamy do czynienia z pewnym paradoksem prawnym. Artykuł 60b ust. 4 p.t. dał możliwość, by dostawca usług telekomunikacyjnych zlecił obowiązek rejestracji podmiotowi trzeciemu. Przedsiębiorca występuje wtedy w imieniu operatora i wolno mu to, co wolno operatorowi.

- Sklep działa na tej samej zasadzie, jak operator powierzający przetwarzanie swojemu agentowi, który prowadzi salon sprzedaży telefonów - wyjaśnia dr Litwiński. Tu pojawia się jednak podstawowy problem.

- Chcąc zarejestrować kartę, klient jest zmuszony okazać dokument tożsamości osobie, która nie jest uprawniona do legitymowania (w taki sposób jak np. może czynić to policja) - komentuje Damian Klimas. I dodaje, że powstaje zatem niejednoznaczna sytuacja, w której konsument nie ma obowiązku okazania dowodu, przy jednoczesnej świadomości, że w innym przypadku sprzedawca odmówi mu rejestracji karty prepaid. W jaki sposób sobie z tym poradzić? Bardzo prosto. Kioskarz powinien poprosić o pokazanie dokumentu, nie musi go nawet brać do rąk. Ważne, by był w stanie odczytać z niego dane osobowe. Trzeba je następnie wprowadzić bezpośrednio do systemu informatycznego, który został sprzężony z programem dostarczonym przez operatora. Nie wolno zapisywać ich nigdzie na kartce, drukować ani przesyłać osobom innym niż dostawca usług telekomunikacyjnych.

18,8 mln to liczba aktywnych kart prepaid w Polsce na koniec 2015 r.

46 proc. taki udział w rynku miały karty prepaid

Źródło: UKE

Jakub Styczyński

jakub.styczynski@infor.pl